Download: CoverHotspotter

Hotspotter
TEMAT MIESIĄCA
Ataki na klientów sieci bezprzewodowych
HOTSPOTTING
Eksperci od spraw bezpieczeństwa zawsze
zwracają uwagę na odpowiednie
zabezpieczenie punktów dostępowych WLAN,
lecz czasem zapominają, że klienci
są również narażeni na ataki.
Publiczne punkty dostępowe ułatwiają
napastnikom przechwytywanie
połączeń klientów,
co demonstruje program Hotspotter.
MAX MOSER
S
ieci bezprzewodowe stają się bezpieczniejsze z minuty na minutę,
a dzieje się tak dzięki skomplikowanym mechanizmom zabezpieczeń.
Mechanizmy uwierzytelniające oparte
o infrastrukturę EAP (Authentication
Protocol) pozwalają wierzyć, że nieproszeni goście będą trzymani z daleka. Protokół Temporal Key Integrity Protocol
(TKIP) [1], wykorzystujący często modyfikowane klucze WEP, zapobiega atakom powtórzenia (ang. replay) i nieco
utrudnia techniki łamania szyfrowania.
Klucze stają się też coraz dłuższe.
WPA oraz WPA2 [2] oraz szyfrowanie AES [3] wydają się zapewniać prawie perfekcyjne rozwiązania dla sieci
korporacyjnych. Ponadto punkty dostępowe są często wyposażone w obsługę VLAN, mechanizmy detekcji włamań (Intrusion Detection) oraz zapory
sieciowe. To wszystko kosztuje niemałe kwoty.
Zagrożenie czai się jednak nie tylko
w zakamarkach sieci korporacyjnych.
W wiecznie pędzącej erze urządzeń
mobilnych wiele osób pracuje w ciągłym ruchu. To jest już element realiów
codziennej pracy. Dzięki zwiększającej
1. Probe Request
(żądanie połączenia)
2. Probe Response
(odpowiedźna żądanie połączenia)
3. Authentication Request
(żądanie uwierzytelnienia)
4. Authentication Response
Client
(Klient)
(odpowiedź na żądanie uwierzytelnienia)
Access Point
(Punkt Dostępu)
5. Association Request
(żądanie przyłączenia)
6. Association Response
(odpowiedź na żądanie przyłączenia)
7. Data Traffic
(przesyłanie danych)
Rysunek 1: Logowanie się w punkcie dostępowym. Atak może dosięgnąć klienta w krokach 1 i
2, zanim klient odszuka dostępne sieci.
WWW.LINUX-MAGAZINE.PL
NUMER 18 LIPIEC 2005
23
TEMAT MIESIĄCA
Hotspotter
Ramka 2: Tryb
monitorujący
Tryb monitorujący (Monitor Mode), nazywany również trybem RFMON, jest specjalnym
trybem, w którym karty bezprzewodowe
przekazują do oprogramowania sterującego
wszystkie otrzymane pakiety, a nie tylko te
pakiety, których karta jest adresatem. Dzięki
temu można nasłuchiwać kilka nadajników
jednocześnie.
Ramka 3: Wielkie
zagrożenie stacji
roboczych Windows
Rysunek 2: Narzędzia analizujące pakiety, jak Ethereal, mogą posłużyć do analizy pakietów IEEE802. Przykład przedstawia pakiet Probe Response, wykorzystywany do ataków opisywanych
w tym artykule.
się dostępności sieci bezprzewodowych
i dobrym administratorom, użytkownicy mogą pracować w wielu publicznych
miejscach: na lotniskach, w hotelach
czy salach konferencyjnych. Jeśli ktoś
Ramka 1: Najważniejsze
pakiety zarządzające
Beacons: wysyłane przez punkt dostępowy
na potrzeby synchronizacji i rozgłaszania parametrów sieciowych.
Probe Request: Wysyłane przez klientów wyszukujących sieci, zawierają parametry połączenia, jak SSID oraz częstotliwość.
Probe Response: Odpowiedź punktu dostępowego na pakiet Probe Response, informująca o akceptacji lub odrzuceniu transakcji.
Association Request: Klient ogłasza chęć
przyłączenie się do określonej sieci.
Association Response: Punkt dostępowy informuje o tym, czy klient zostanie zaakceptowany w sieci.
Disassociation: Punkt dostępowy informuje
klienta o tym, że powinien zakończyć połączenie.
Authentication: Klient uwierzytelnia się na
potrzeby przyłączenia do sieci.
Deauthentication: Pakiet wysyłany przez
punkt dostępowy jako informacja, że istniejące uwierzytelnienie zostaje unieważnione.
24
NUMER 18 LIPIEC 2005
naprawdę chce pracować, trudno go
przed tym powstrzymać.
Menedżerowie wielu firm często podróżujący po świecie szybko przywykli do nowo odkrytej elastyczności sieci bezprzewodowych i chcą mieć ją również u siebie
w firmie. Działy IT są zmuszane do wprowadzania skomplikowanych infrastruktur
bezpieczeństwa, aby sprostać wyzwaniom
związanym z przesyłaniem poufnych danych drogą radiową. Ponadto usługi korporacyjnych sieci bezprzewodowych z reguły muszą być udostępniane jedynie
ograniczonej grupie uwierzytelnianych
użytkowników.
Menedżerowie w ruchu
Typowy menedżer podróżujący po kraju
z laptopem wyposażonym w łącze WLAN
z reguły będzie miał skonfigurowane co
najmniej dwa profile sieci bezprzewodowej. Jeden z nich jest stosowany w publicznych punktach dostępowych, jak lotniska
i hotele, drugi ma zastosowanie w bezpiecznych konfiguracjach korporacyjnej
sieci bezprzewodowej. W Internecie można znaleźć co najmniej kilka baz danych
zawierających informacje na temat dostępnych publicznych punktów dostępowych [4].
Sieć bezprzewodowa składa się z szeregu
elementów, a do obsługi komunikacji służą
WWW.LINUX-MAGAZINE.PL
Aby maksymalnie uprościć zarządzanie
i umożliwić wykorzystanie jak największej
liczby hotspotów bez potrzeby modyfikacji
konfiguracji większość użytkowników tworzy
profile typu „Moja bezpieczna sieć” oraz
„ANY”. Drugi z tych profili stanowi specjalny
przypadek i pozwala przyłączyć się do dowolnej sieci niezależnie od jej nazwy.
Jeśli napastnik podszywa się pod bezpieczną
sieć, klient nie będzie miał możliwości nawiązania połączenia, ponieważ szyfrowanie
i ustawienia uwierzytelniania nie będą się
zgadzać. Jednak w wielu z opisanych wyżej
konfiguracji profil „ANY” jest domyślny.
Oznacza to, że przy każdym połączeniu będzie stosowany ten profil, jako że „ANY” dopasowuje wszystkie połączenia, w tym również dotyczące „Moja bezpieczna sieć”.
Dobrze dobrany moment ataku wykorzystujący pakiety uwierzytelniające pozwala przechwycić połączenie klienta i podszycie się
pod sesję bezpiecznej sieci. Niektóre programy klienckie zawierają funkcje zabezpieczające przed atakami tego typu. Jednym z nich
jest klient Odyssey [5].
różne typy pakietów, na przykład do przesyłania danych, kontroli i zarządzania.
Szczególnie interesujące są pakiety zarządzające, ponieważ to one służą do rozgłaszania usług, logowania i wylogowania się
w sieci oraz zarządzania zasilaniem (zobacz Ramka „Najważniejsze pakiety zarządzające”).
Bez szyfrowania
Pakiety zarządzające są przesyłane w sieci
bezprzewodowej bez szyfrowania. Jakby tego było mało, protokół nie zapewnia prawie
żadnej kontroli integralności czy weryfikacji poprawności adresata lub nadawcy.
Drugi punkt dostępowy mógłby wysłać do
Hotspotter
sekwencji, jak ma to miejsce
w klasycznych, przewodowych sieciach komputerowych. Punkt dostępowy z reguły nie analizuje otrzymywanych pakietów sprawdzając, czy wyglądają jakby sam
był ich nadawcą.
Niektóre urządzenia sieci
bezprzewodowych
można
Rysunek 3: Program Hotspotter w akcji, każda kropka symwyposażyć w specjalne mobolizuje odebrany pakiet sieciowy.
duły detekcji włamań (IDS),
wykrywające próby fałszowania pakietów.
klienta pakiet typu Probe Response w odJednak jedynym prawdziwym sposobem
powiedzi na jego pakiet Probe Request i zawalki z tym zagrożeniem byłoby wprowaprosić go do połączenia. Pakiet Probe Redzenie skutecznych sposobów weryfikacji
sponse przedstawiony na Rysunku 2 składa
nadawcy i adresata, na przykład w oparciu
się z kilku segmentów.
o projekt Wlsec [6] rozwijany na licencji
Najważniejszymi z tych segmentów są:
Open Source. Niestety, ten projekt jak na
■ Framecontrol (FC) określający typ parazie nie wywołał oczekiwanej reakcji ze
kietu (w przypadku pakietów zarządzająstrony komercyjnych animatorów technik
cych jest to „0”), podtyp (Probe Response
bezprzewodowych.
to wartość „5”) oraz znaczniki, które w
przypadku pakietu Probe Response zawsze
mają wartość 0.
■ „Adres docelowy” to adres MAC klienta.
Brak uwierzytelniania
■ „Adres źródłowy” to adres MAC punkWrogi punkt dostępowy nie potrafi, oczytu dostępowego.
wiście, fałszować informacji uwierzytelniających, ponieważ te akurat nie są rozgłasza■ „BSS Id” to ID stacji w sieci ad hoc.
ne. Jednak parametry uwierzytelniające
■ „Parametry stałe” składają się ze
stosowane w hotspotach są dobrane w taki
znacznika czasu oraz informacji o sieci.
sposób, aby uprościć ich użytkowanie. Za■ „Parametry oznakowane” zawierają
sady rządzące hotspotami są często przeSSID, jego rozmiar oraz kanał i obsługiwaciwne do stosowanych w sieciach korporane prędkości transmisji.
cyjnych. Z tego powodu w hotspotach obyNarzuca się pytanie: w jaki sposób użytdwa zabezpieczenia typowe dla sieci korpokownicy mogą stwierdzić, czy pakiety poracyjnych są wyłączone, co w rezultacie pochodzą z zaufanej sieci z którą chcą się powoduje, że ruch sieciowy nie jest uwierzyłączyć, czy z sieci kontrolowanej przez natelniany ani szyfrowany. Obydwa sposoby
pastnika? W rzeczywistości użytkownicy
zapewnienia bezpieczeństwa stanowią bonie mają takiej możliwości i dokładnie tuwiem zbyt dużą niewygodę dla klientów.
taj znajduje się znacznych rozmiarów dziuTo powoduje, że napastnik może bez prora w bezpieczeństwie.
blemu podszyć się pod zaufaną sieć. KlienPrzy bliższej analizie okazuje się, że sieć
ci sieci bezprzewodowej będą zakładać, że
rozgłasza następujące informacje:
przyłączyli się do zaufanej sieci, choć w rze■ Logiczną nazwę sieci (SSID)
czywistości łączą się z siecią napastnika.
■ Adres MAC punktu dostępowego
Napastnik może wykorzystać kilka urzą■ Konfigurację punktu dostępowego
dzeń sieci bezprzewodowej, aby zaaranżoRozgłoszony SSID, czyli logiczna nazwa
wać sytuację pośrednika (man-in-the-midsieci, może być wykorzystana przez każdy
dle), w której wrogi punkt dostępowy podpunkt dostępowy, ponieważ ta wartość jest
słuchuje i analizuje pakiety, po czym przedowolnie konfigurowana i nie jest gwarankazuje je do rzeczywistego odbiorcy.
towana ani nawet wymagana jej unikalTę formę ataku zaprezentowano po raz
ność.
pierwszy przy okazji projektu Airjack [7].
Adres MAC punktu dostępowego rówGrupa Shmoo Group, która zdobyła sławę
nież może w prosty sposób być zdublowany,
dzięki swojemu programowi Airsnort, szybszczególnie, gdy napastnik wykorzystuje
ko zaadaptowała tę technikę, opracowując
punkt dostępowy symulowany programonarzędzie Airsnarf [8], które tworzy prograwo. Zdublowany adres MAC nie ma w sieci
mowy punkt dostępowy z fałszywą stroną
bezprzewodowej łatwych do wykrycia kon-
WWW.LINUX-MAGAZINE.PL
TEMAT MIESIĄCA
WWW do logowania się w sieci.
Jeśli klient rozpoczął już sesję, napastnik
może wykorzystać narzędzie Void11, które
generuje pakiety typu Deauthentication,
zmuszające klienta do zakończenia bieżącej
sesji i do ponownego zainicjowania poszukiwań dostępnych sieci.
Hotspotter
Airsnarf nie stanowi w pełni zautomatyzowanego narzędzia do ataków, ponieważ to
wymaga znajomości niektórych parametrów sieci, jak SSID. Narzędzie Hotspotter
[9], napisane przez autora tego artykułu,
wykorzystuje podejście podobne do zastosowanego w programie Airsnarf, lecz potrafi automatycznie reagować na poszukiwania niezabezpieczonych sieci przez
klientów. Program może wykorzystywać
dowolną kartę bezprzewodową, której sterownik akceptuje polecenie iwconfig mode
monitor oraz iwconfig mode master. W naszych testach dobrze pracowały karty
z chipsetem Prism2 oraz oparte na układach Atheros.
Hotspotter przełącza kartę sieci bezprzewodowej w tryb RFMON (zobacz Ramka
„Tryb monitorowania”). W tym trybie karta akceptuje wszystkie dostarczające do
niej pakiety przekazując je do programu,
który analizuje pakiety typu Probe Request. Pakiety te zawierają parametry sieci, jakiej poszukuje klient (zobacz ramka „Najważniejsze pakiety zarządzające”).
Poszukując sieci, klient wysyła pakiety
typu Probe Request zawierające parametr
SSID poszukiwanej sieci. Ujmując to prościej, klient wykrzykuje: Halo, czy sieć, którą
widzę to „operator_hotspota”, czy „moja bezpieczna_sieć_korporacyjna”? Jeśli punkt dostępowy należy do sieci określonych w pytaniu, zostaje przesłana odpowiedź i jest nawiązywane połączenie z zastosowaniem
ustawień zdefiniowanych w odpowiednim
z profili klienta.
Jeśli klient straci połączenie z siecią, po
prostu próbuje ponownie. W zależności od
systemu operacyjnego i ustawień, klient będzie w określonych odstępach czasu podejmował próby wyszukania sieci zdefiniowanych w profilach, lub poinformuje użytkownika, że połączenie zostało przerwane
i zaczeka na jego dalsze polecenia.
Jeśli klient nie znajdzie sieci, której szuka, najczęściej podejmuje próbę odszukania sieci zdefiniowanej w kolejnym profilu.
Dzięki temu napastnik może poznać para-
NUMER 18 LIPIEC 2005
25
TEMAT MIESIĄCA
Hotspotter
metry wszystkich profili zdefiniowanych
przez klienta.
Hotspotter przechwytuje SSID poszukiwanej sieci i porównuje go z listą punktów
dostępowych, które zostały zidentyfikowane jako hotspoty niewykorzystujące szyfrowania. Jeśli Hotspotter znajdzie dopasowanie, zatrzymuje tryb monitorujący karty
i konfiguruje ją jako programowy punkt
dostępowy podszywający się pod daną sieć
(Rysunek 3.). Ujmując to prościej, Hotspotter odpowiada: Tak, to ja, Twoja sieć „operator_hotspota”, możesz się ze mną połączyć.
Klient z reguły chętnie przystaje na propozycję. W ten sposób połączenie naiwnie trafia w ręce napastnika.
powoduje, że program oczekuje na przełączenie się karty w tryb punktu dostępowego.
Oczywiście, zadania realizowane przez
wskazany skrypt powłoki mogą być zupełnie dowolne. Może to być automatyczne
przypisanie adresu IP w oparciu o DHCP,
sprawdzenie nazwy klienta z użyciem odwrotnego zapytania DNS, automatyczne
przeskanowanie portów, podsłuchanie danych, a nawet przejęcie kontroli nad systemem z zastosowaniem dodatkowego exploita lub konia trojańskiego. Napastnik może
również przedstawić klientowi sfałszowaną
stronę WWW do logowania się w sieci.
Po zastosowaniu opcji -r lub -e, i przekazaniu
programowi Hotspotter odpowiedniego
skryptu powłoki, cały opisany schemat odbywa się w sposób w pełni automatyczny. Opcja
-r powoduje, że przed przejściem w tryb programowego punktu dostępowego jest wywoływany określony skrypt powłoki, opcja -e
INFO
[1] TKIP: http://www.cisco.com
[2] WPA: http://wwww.wi-fi.org
[3] AES: http://www.faqs.org/rfcs/rfc3565.html
[4] Międzynarodowa baza Hotspotów:
http://mobile.yahoo.com/wifi
Podsumowanie
Atak za jednym kliknięciem
też wymknąć się poza kosztowne zabezpieczenia i dostać się do sieci tylnymi drzwiami, aby zainstalować konia trojańskiego lub
wykraść dane, co daje napastnikom nowe
możliwości ataku na pozornie bardzo dobrze zabezpieczone sieci korporacyjne.
Gdy wyobrazić sobie liczbę laptopów z wbudowanymi urządzeniami sieci bezprzewodowej, a przede wszystkim uzmysłowić sobie liczbę osób przesyłających niezwykle
ważne dane, nie wiedząc nic o sposobie
działania komputerów, szybko oczywiste
stanie się, że bezprzewodowa praca w pociągach, na lotniskach lub spotkaniach biznesowych stanowi poważny problem. Łatwo
[5] Klient Odyssey dla Windows:
http://www.funk.com/radius/wlan/lan_c_radius.asp
[6] Projekt WLSec: http://wlsec.net
[7] Airjack: http://sourceforge.net/projects
/airjack
[8] Airsnarf: http://airsnarf.shmoo.com
[9] Hotspotter: http://wwww.remote-exploit.org
WWW.LINUX-MAGAZINE.PL
WWW.LINUX-MAGAZINE.PL